问答题
【说明】
希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。
希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。
问答题
【问题1】
防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要。求内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在相应位置。
(1)备选答案:
防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要。求内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在相应位置。
(1)备选答案:
- A.允许
- B.拒绝
(2)备选答案:A.192.168.1.0/24B.211.156.169.6/30 - C.202.117.118.23/24
(3)备选答案:A.TCPB.UDPC.ICMP
(4)备选答案:A.E3→E2B.E1→E3 C E1→E2
表3-1 防火墙的包讨滤规则序号策略源地址源端口目的地址目的端口协议方向1(1)(2)Any202.117.118.2380(6)(7)
【正确答案】(1)A (2)A (3)A (4)C
【答案解析】[分析]
由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。
根据题意,要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24):而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1→E2)。
由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。
根据题意,要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24):而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1→E2)。
问答题
【问题2】
内部网络经由防火墙采用NAT方式与外部网络通信,表3-2中(5)-(7)空缺处选择正确答案,填写在相应位置。
(5)备选答案:
内部网络经由防火墙采用NAT方式与外部网络通信,表3-2中(5)-(7)空缺处选择正确答案,填写在相应位置。
(5)备选答案:
- A.192.168.1.0/24
- B.any
- C.202.117.118.23/24
(6)备选答案:A.E1B.E2C.E3
(7)备选答案:A.192.168.1.1B.210.156.169.6C.211.156.169.6
表3-2 防火墙的规则源地址源端口目的地址协议转换接口转换后地址192.168.1.0/24Any(5)80(6)(7)
【正确答案】(5)B (6)B (7)C
【答案解析】[分析]
根据题意,内部网络(即192.168.1.0/24网络)经由防火墙采用NAT方式与外部网络通信。因此在访问任何外部主机时都需要进行NAT转换,即(5)应该选择B(any);而NAT转换都是在与外部连接的端口上进行的,即E2,因此(6)应该选择B;这一转换显然是将源IP地址替换成防火墙E2端口的IP地址,因此(7)应该选择C,即 211.156.169.6。
根据题意,内部网络(即192.168.1.0/24网络)经由防火墙采用NAT方式与外部网络通信。因此在访问任何外部主机时都需要进行NAT转换,即(5)应该选择B(any);而NAT转换都是在与外部连接的端口上进行的,即E2,因此(6)应该选择B;这一转换显然是将源IP地址替换成防火墙E2端口的IP地址,因此(7)应该选择C,即 211.156.169.6。
问答题
【问题3】
图3-1中 (8)适合设置为DMZ区。
(8)备选答案:
图3-1中 (8)适合设置为DMZ区。
(8)备选答案:
- A.区域A
- B.区域B
- C.区域C
【正确答案】(8)B
【答案解析】[分析]
DMZ网络通常较小,处于Internet和内部网络之间,一般情况下,配置成使用Internet和内部网络系统对其访问会受限制的系统,例如堡垒主机、信息服务器、Modem组以及其他公用服务器。
而对于图3-1所示的网络而言,区域A显然是Internet网络,区域C是内部网络,因此适合设置为DMZ区的就是区域B。
DMZ网络通常较小,处于Internet和内部网络之间,一般情况下,配置成使用Internet和内部网络系统对其访问会受限制的系统,例如堡垒主机、信息服务器、Modem组以及其他公用服务器。
而对于图3-1所示的网络而言,区域A显然是Internet网络,区域C是内部网络,因此适合设置为DMZ区的就是区域B。
问答题
【问题4】
防火墙上的配置信息如图3-2所示。要求启动HTTP代理服务,通过HTTP缓存提高浏览速度,代理服务端口为3128,要使主机PCI使用HTTP代理服务,其中“地址”栏中的内容应填写为 (9) ,“端口”栏中内容应填写为 (10) 。
防火墙上的配置信息如图3-2所示。要求启动HTTP代理服务,通过HTTP缓存提高浏览速度,代理服务端口为3128,要使主机PCI使用HTTP代理服务,其中“地址”栏中的内容应填写为 (9) ,“端口”栏中内容应填写为 (10) 。
【正确答案】(9)192.168.1.1 (10)3128
【答案解析】[分析]
对于代理服务器设置而言,IP地址就是代理服务器的IP地址,在本例中就是防火墙的IP地址,即192.168.1.1,而其端口号就是题意指定的代理服务端口3128。
对于代理服务器设置而言,IP地址就是代理服务器的IP地址,在本例中就是防火墙的IP地址,即192.168.1.1,而其端口号就是题意指定的代理服务端口3128。
问答题
【问题5】
NAT和HTTP代理分别工作在 (11) 和 (12) 。
(11)备选答案:
NAT和HTTP代理分别工作在 (11) 和 (12) 。
(11)备选答案:
- A.网络层
- B.应用层
- C.服务层
(12)备选答案:A.网络层B.应用层C.服务层
【正确答案】(11)A (12)B
【答案解析】[分析]
NAT,网络地址转换,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请合法IP地址。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
NAT的应用场景主要是两种:一是从安全角度考虑,不想让外部网络用户了解自己的网络结构和内部网络地址;二是从IP地址资源角度考虑,当内部网络人数太多时,可以通过NAT实现多台共用一个合法IP访问Internet。
在图3-9中展现了静态NAT的工作原理,从中不难看出它是对IP包进行操作,因此是工作在网络层。
[*]
而代理服务器的功能就是代理网络用户去获取网络信息。形象地说:它是网络信息的中转站。代理服务器能够让没有公网IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求时,该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较大的带宽、较高的性能,并且能够智能地缓存已浏览或未浏览的网站内容,因此在一定情况下,客户端通过代理服务器能够更快速地访问网络资源。从上面的描述中也不难发现,它是工作在应用层的。
NAT,网络地址转换,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请合法IP地址。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
NAT的应用场景主要是两种:一是从安全角度考虑,不想让外部网络用户了解自己的网络结构和内部网络地址;二是从IP地址资源角度考虑,当内部网络人数太多时,可以通过NAT实现多台共用一个合法IP访问Internet。
在图3-9中展现了静态NAT的工作原理,从中不难看出它是对IP包进行操作,因此是工作在网络层。
[*]
而代理服务器的功能就是代理网络用户去获取网络信息。形象地说:它是网络信息的中转站。代理服务器能够让没有公网IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求时,该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较大的带宽、较高的性能,并且能够智能地缓存已浏览或未浏览的网站内容,因此在一定情况下,客户端通过代理服务器能够更快速地访问网络资源。从上面的描述中也不难发现,它是工作在应用层的。